5 Belastingdienst

Ik heet de staatssecretaris, de Kamerleden en de mensen op de publieke tribune van harte welkom. Ik dacht de heer Omtzigt als eerste spreker het woord te zullen geven, maar de heer Bashir staat al voor de interruptiemicrofoon. Het woord is aan de heer Bashir. Mijnheer Bashir, goedemorgen. 

Goedemorgen, voorzitter, staatssecretaris en anderen. Ik heb een punt van orde. Wij hebben een set feitelijke vragen gesteld, wij hebben heel veel vragen gesteld. De antwoorden hebben wij gisteren gekregen en bestudeerd. Wat blijkt? Een groot aantal vragen wordt niet beantwoord. Ik ben daarover heel erg ontevreden. Ik vind dat wij dit debat pas kunnen beginnen op het moment dat de staatssecretaris alle vragen heeft beantwoord. Het gaat bijvoorbeeld om de vraag of er waarschuwingen waren, die de staatssecretaris bereikt hebben … 

Nee, wij gaan de vragen niet doornemen. Wat is het punt van orde? 

Mijn punt van orde is dat de staatssecretaris alle vragen moet beantwoorden, zodat we er straks niet mondeling op in hoeven te gaan. Wij willen dat de staatssecretaris nagaat welke vragen hij nog niet heeft beantwoord en dat hij die alsnog beantwoordt. 

Een aantal vragen is wel helder beantwoord, maar ook een aantal vragen in het geheel niet. Er zijn bijvoorbeeld acht vragen gesteld over wat de staatssecretaris wist en daar wordt totaal omheen gedraaid. Ik stel voor dat wij nu het debat beginnen. Wij kunnen met een cirkeltje precies aangeven over welke tien, vijftien vragen het gaat en de staatssecretaris vragen om die gedurende zijn eerste termijn te beantwoorden. 

Ik kijk even naar de staatssecretaris om te weten of dat een reële vraag is. Ja? Laten we dan gewoon het debat beginnen. 

Ik wil wel aangeven dat ik het geen goede gang van zaken vind dat wij als Kamer via ordepunten ervoor moet zorgen dat feitelijke vragen worden beantwoord in een termijn, terwijl wij de staatssecretaris een week hebben gegeven om schriftelijk te antwoorden. 

Hoeveel vragen zijn er ongeveer gesteld? Ik hoor dat het er 74 zijn. Ik geef nu de heer Omtzigt het woord namens het CDA. 

Dank u wel. 

Is die nu aangescherpt? Waarom is daar een halfjaar geleden niets mee gedaan? 

Daarmee zijn we aan het eind van de eerste termijn van de zijde van de Kamer gekomen. Er zijn veel vragen gesteld. Ik wil daarom voorstellen, wat langer te schorsen, zodat de staatssecretaris in de gelegenheid wordt gesteld om zo veel mogelijk en het liefst alle vragen te beantwoorden. 

We gaan verder met het debat over de Belastingdienst. Ik geef het woord aan de staatssecretaris van Financiën. 

Missen jullie iets? Ja hoor, de heer Omtzigt. 

De waarschuwingen en de informatiepositie van de staatssecretaris ten aanzien van de top van de Broedkamer. 

Dat hoort bij de informatie, voorzitter. Uiteraard. Daar kom ik nog uitgebreid op. 

Dank u wel. 

Vanzelfsprekend. Natuurlijk. 

Waarin ik niet van de sprekers verschil, is het feit dat ik dit een uiterst onplezierige en pijnlijke uitzending vond. Als de Belastingdienst je project is geworden — en in alle eerlijkheid op dagelijkse basis inmiddels ook je leven — dan doet zo'n uitzending ongeveer hetzelfde met je als wanneer je hoort dat je zoon op het schoolplein wordt gepest. Dat raakt je. Ik vind de aantijgingen ernstig. Ze zijn helaas niet in alle gevallen specifiek genoeg om heel snel te kunnen duiden waar, hoe en of we zouden moeten ingrijpen. Het gaat om dingen als integriteit, informatiebeveiliging, stijl en cultuur. Wat voor mij het pijnlijkste punt was — twee sprekers hebben dat ook gezegd — is dat we deze signalen opnieuw via de media krijgen. Om aan te sluiten bij mijn eerdere voorbeeld: je krijgt niet van je zoon te horen dat hij wordt gepest op het schoolplein, maar van de vader van een vriendje van hem. Dat is niet goed. In een normale situatie komen die signalen uit de organisatie zelf, bijvoorbeeld via de lijn, de or, de vertrouwenspersoon of interne klokkenluiders. Het is zo ongeveer een wet dat verbeterideeën en waarschuwingen binnen een organisatie horen te komen van de eigen medewerkers. Zij weten er immers het meeste van en zij zitten er het dichtst bovenop. Zij hebben bovendien de trots en de motivatie om daar wat aan te doen. De afstand van de top tot de werkvloer is blijkbaar opnieuw moeilijk overbrugbaar geworden. Dat moet veranderen, zodat de waarschuwingen, zo die er zijn geweest, daar terechtkomen. Ook de staatssecretaris bijt niet; wil ik maar zeggen. 

We hebben nu een paar dagen gehad. We zijn hier heel diep ingedoken om de aantijgingen na te trekken. Daaruit blijkt dat er op dit moment geen acute risico's bestaan voor de dossiers waarover we het nu hebben, niet voor de data en niet voor de aanbestedingen. Maar tegelijkertijd moeten we dit soort signalen wel uiterst serieus nemen. De strategie die ik heb gekozen, is als volgt. We moeten er serieus induiken, niet alleen in het nu, maar ook in het verleden, zodat we zien wat er aan de hand is of is geweest. Zolang we niet alles boven tafel hebben, hebben we nog geen acute risico's of aanleiding daartoe gezien. Maar zolang je dat niet helemaal zeker weet, moet je het uiterste doen om ervoor te zorgen dat ook het nu zo veilig mogelijk is gesteld. Dat betekent dat je in sommige gevallen maatregelen moet nemen, bovenop wat je normaal vindt en bovenop wat je normaal gesproken wenselijk zou vinden. We moeten geen risico's nemen als er serieuze signalen zijn. Tegelijkertijd moeten we er alles aan doen om de medewerkers die nu anoniem en via externen hun zorgen hebben geuit, meer duidelijkheid te geven over hun zorgen — dat mag ook anoniem en dat kan op allerlei manieren — want dat helpt. Ik denk dat we op die manier moeten zeggen dat we dit nu zo goed als dat maar gaat, kunnen borgen, ook als er geen aanleiding is om te denken dat er nu risico's zijn. Maar we moeten tegelijkertijd vanuit het verleden het uiterste boven tafel halen. Daarbij verdient de informatiebeveiliging voorrang, maar blijkbaar zijn veel Kamerleden dat met mij eens. De gegevens over informatiebeveiliging kunnen we natuurlijk niet "meemaken". De Belastingdienst is een van de partijen die het meeste bijhouden van mensen. In sommige gevallen zijn dat gevoelige gegevens. 

Nogmaals: het huidige D&A bekeken hebbend, zie ik geen actief risico. Het is ook goed om te zien dat D&A in veel opzichten in essentie een afdeling is als iedere andere afdeling van de Belastingdienst. Het is namelijk een afdeling die, jazeker, toegang heeft tot gegevens en waar, net als elders in de Belastingdienst, ook externen werken, maar je hebt natuurlijk alleen toegang tot de gegevens waarmee jij wordt geacht te werken en niet tot andere gegevens. Iemand die bij de Belastingdienst bij de omzetbelasting werkt, mag alleen bepaalde gegevens zien en ook iemand die bij de inning werkt, mag alleen bepaalde gegevens zien. Dat geldt ook voor de Broedkamer: als iemand aan een bepaalde module werkt, krijgt hij alleen toegang tot die gegevens. In uiterste gevallen zijn er ontheffingen, bijvoorbeeld om met een USB te werken. Dat is niet anders dan bij de rest van de Belastingdienst. Daar wordt uiterst spaarzaam mee omgegaan. Op dit moment zijn er geen ontheffingen binnen D&A. 

Met de rest van de Belastingdienst heeft D&A ook gemeen dat er natuurlijk wordt gelogd. We loggen wie welk gegeven uit welke database op welk tijdstip haalt en wat daarmee gebeurt. Dat loggen we. Dat is niet het enige. Het veiligheidsbeleid wordt elk jaar naar aanleiding van het handboek bekeken. Dat is gewoon hét handboek, dat zeker ook voor D&A geldt. De naleving daarvan wordt elk jaar beoordeeld. Dat kan vervolgens weer geaudit worden door de ADR. Die gegevens worden bewaard. De standaardtermijn is twee jaar, maar ik ben nog aan het zoeken naar hoeveel langer gegevens nog beschikbaar zijn, want er worden ook back-ups gemaakt. Het hoeft dus zeker niet bij die twee jaar te blijven, maar dat wordt nog uitgezocht. 

Zoals de heer Omtzigt zei, kunnen mensen inderdaad hun eigen gegevens tegenkomen. Ja, dat kunnen medewerkers van de Belastingdienst namelijk. Zij hebben alleen toegang tot wat relevant is voor hun werk, maar zij kunnen daarin hun eigen gegevens tegenkomen. Dat is binnen de overheid zo. Dat is ook bij andere overheidsdiensten vaak het geval. Het verschil is dat D&A die gegevens niet kan wijzigen, want er is geen reden voor de afdeling Data en Analytics om gegevens te wijzigen. Dat mag men bij die afdeling dus ook niet doen. De gegevens kunnen dus niet worden gewijzigd. 

De heer Van Weyenberg zei dat het systeem van pseudoniemen hier nog niet eens werd gehanteerd. Dat wordt maar heel weinig gehanteerd. Dat is ook niet de standaard. Juist D&A heeft gezegd: aangezien wij geen heffingen hoeven op te leggen aan specifieke belastingplichtigen en dus alleen op een analytische manier met die gegevens hoeven om te gaan, is het misschien een goed idee om dat systeem van pseudoniemen te hanteren. Daar wordt op dit moment aan gewerkt. Dat ligt voor de hand, maar dat is een extra beveiligingseis. Dat is totaal niet standaard, maar dat is juist door D&A zelf opgevoerd, omdat dat eigenlijk logisch is en in het verlengde ligt van de taak van die afdeling. 

Al met al lijkt de afdeling in veel opzichten op andere afdelingen van de Belastingdienst, maar er gelden wel hogere eisen in plaats van lagere. Wij gaan hier verder naar kijken, allereerst natuurlijk naar de informatiebeveiliging in het verleden. Dat is "het toen". Het gaat dus niet alleen om "het nu". De Autoriteit Persoonsgegevens doet "het nu"; die kijkt naar de beveiliging van D&A op dit moment. Dat is zeer welkom, want dan hebben we daar zekerheid over. Ik heb geen indicatie om aan te nemen dat er risico's zijn. Desondanks heeft de Autoriteit Persoonsgegevens naar aanleiding van signalen voorafgaand aan ZEMBLA — in de aanzwelling van ZEMBLA — gedacht dat zij daarnaar moest kijken. Dat is uitstekend. Zij begint volgende week. Dat gaat zij dus doen. Dat gaat dus over het nu. 

Zelf hebben we de verplichting om naar het toen te kijken. Ten eerste moeten we daar lessen uit leren, maar we moeten ook een antwoord vinden op de vraag of het zo kan zijn geweest dat er data is gelekt. Dat is een vraag die door sommigen in deze zaal heel eloquent is gesteld. Dat moet dit onderzoek natuurlijk naar boven halen. Tegelijkertijd heeft dit ook betrekking op de Belastingdienst als geheel. Daarom willen we ook Belastingdienstbreed kijken naar de toepassing van het handboek en de beveiliging. We willen dus niet alleen kijken haar het handboek zelf, maar ook naar hoe het wordt nageleefd. Dat zijn de dingen die we doen. Ik overweeg om aan de ADR te vragen om een EDP-auditor mee te laten lopen, zodat er ook op een externe en onafhankelijke manier naar dat onderzoek wordt gekeken. 

Al met al is het idee om nu zo veel mogelijk veilig te stellen, ondanks dat er geen signalen zijn dat er nu iets verkeerd zit. Tegelijkertijd gaan we dat verleden gewoon uitdiepen en willen we een antwoord hebben op de vraag die in deze Kamer en bij mij leeft, of het zo kan zijn geweest dat er data is weggelekt. Ik kan die vraag in die zin beantwoorden dat er sinds februari 2016 geen enkele basis is voor een vermoeden. Toen is de afdeling D&A gestart. Over de periode daarvoor heb ik geen concrete aanwijzingen, maar bestaan wel signalen. Daar ga ik dan ook op in. 

Er is gevraagd of er waarschuwingen zijn geweest. Die waarschuwingen heb ik niet gevonden in het ADR-rapport. Er wordt, denk ik, vrij incompleet geciteerd uit het ADR-rapport door het programma. 

Mijnheer Van Dijck, ik zie dat u graag wilt interrumperen, maar wij hebben net met elkaar afgesproken dat er zes onderwerpen aan de orde komen. De staatssecretaris is nu bezig met een punt waar alle woordvoerders naar gevraagd hebben, namelijk informatiebeveiliging. Ik neem aan dat hij dat bijna gaat afronden. Daarna krijgt u alle gelegenheid om uw vragen te stellen. 

Er is gevraagd of er waarschuwingen waren. Die waarschuwingen zag ik niet in het ADR-rapport. Het ADR-rapport gaat over wat er extra gedaan moet worden. Mevrouw De Vries heeft daar vragen over gesteld en die zal ik ook in dit blokje beantwoorden. Het ADR-rapport is over het algemeen positief over de databeveiliging en de awareness die er op dit punt is. Het stelt wel kanttekeningen bij de extra maatregelen, maar waarschuwt niet voor een datalek. Op andere mogelijke waarschuwingen ben ik ingegaan in de stukken, bijvoorbeeld op de waarschuwing die uit LiquidHub zou komen. Ik lees daar geen waarschuwing in. Ik heb het stuk meegestuurd en ik heb het stuk ook zelf gelezen. Ik lees daar dus geen waarschuwing in. 

Een belangrijke vraag is natuurlijk of er intern waarschuwingen zijn geweest. Ik heb in de afgelopen dagen signalen gekregen dat er destijds signalen zouden zijn afgegeven. Dat is hoever ik ben. Het hoofdpunt is niet of er waarschuwingen waren, maar of er data kan zijn gelekt. Dat gaat dan over de periode voorafgaand aan de oprichting van D&A. Dat gaat dus over de voorlopers van de afdeling die er nu is. Dát moeten we weten. Nogmaals, ik heb in de afgelopen dagen signalen gekregen dat destijds signalen zouden zijn gegeven aan het management. Zelf ken ik geen signalen over databeveiliging. Dat was ook geen onderwerp dat vaak langs mijn tafel kwam. Die signalen heb ik dus niet. Ik heb nu wel het signaal dat er destijds is gewaarschuwd, maar vooral heb ik nu aan het programma ontleend dat we serieus moeten kijken naar wat er in die periode is gebeurd en of het zo kan zijn geweest. Daarvoor hebben wij de loggegevens onder andere als bron, maar het onderzoek moet breder gaan. Er moet ook bekeken worden hoe daarmee werd omgegaan en hoe de naleving was. Dat moet dus wel ietsje dieper gaan dan alleen maar de loggegevens. 

Mevrouw De Vries vraagt hoever wij zijn met de maatregelen. In de bijlage heb ik een zestal maatregelen meegestuurd die inmiddels op hun plaats zijn. De extra beveiliging voor het datacentrum hoort daarbij evenals dataclassificatie en compartimentering om er nog scherper voor te zorgen dat mensen zo min mogelijk zien wat ze niet moeten zien. Er zijn geen usb-ontheffingen meer. Al deze dingen staan ook in de bijlage. Er zijn ook initiatieven die nog dit jaar moeten worden doorgevoerd. Een daarvan gaat over de fysieke toegangsbeveiliging. Uiteraard is er fysieke toegangsbeveiliging, namelijk voor de Belastingdienstmedewerkers. Alleen medewerkers kunnen zich vrijelijk bewegen door de kantoren. Maar het idee is om hier een bijzonder werkgebied van te maken. Het is echt niet waar dat je alle gegevens kunt inzien. Dat kan niet bij D&A. Je kunt alleen maar inzien waar je voor geautoriseerd bent, maar desondanks heeft D&A het initiatief genomen om de fysieke toegangsbeveiliging te regelen. Daarover loopt nu het gesprek met degene die over de rijkshuisvesting gaat binnen BZK. Ook een aantal andere initiatieven loopt nog. Die staan ook allemaal in het stuk bij de brief. Het is echt de bedoeling om dat dit jaar te doen. 

De heer Omtzigt stelde nog een feitelijke vraag. Hij vroeg hoeveel externen er in de geschiedenis van de Broedkamer en D&A in totaal zijn geweest. Het antwoord ligt in de orde van 150 mensen. Nogmaals, dit zijn allemaal mensen die niet alleen aan de eisen moeten voldoen waar een normale medewerker ook aan moet voldoen, maar die ook nog — dat staat eveneens in de stukken — aan een aantal extra eisen moeten voldoen. Deze mensen werken onder hetzelfde regime als de medewerkers van de Belastingdienst. Dit wilde ik zeggen over data. 

Ik maak mij zorgen over die 150 externen. Ik zie een hele waslijst van bedrijven van Capgemini tot en met ItaQ, KZA. Daar lopen 150 externen rond. 

Nee, die zijn er ooit geweest. 

Die hebben daar rondgelopen op een personeelsbestand van 130 mensen. Er is dus ook nog een redelijk verloop onder die externen. Zij kunnen allemaal printen of een printscreen maken. Ze kunnen misschien wel die gegevens mailen. Oké, dan hebben ze geen usb-autorisatie, maar ze kunnen misschien wel mailen of printen. Zij hebben wel allemaal gegevens kunnen zien van belastingplichtigen in den brede. Hoe zeker is deze staatssecretaris dat er geen datalek is en dat er geen gegevens van anderen op straat komen te liggen? 

Het is geen novum dat er bij de Belastingdienst mensen werken die geen vaste medewerker van de dienst zelf zijn. Dat is ook uitvoerig aan de orde bij bijvoorbeeld de BelastingTelefoon. Er zijn medewerkers die op de payroll staan en er zijn medewerkers die niet op de payroll staan, maar dat moet geen invloed hebben op het veiligheidsbeleid. Het gaat om dé medewerker. Veiligheid borg je niet op het terrein van een toeleverancier of op het vlak van wie waardoor betaald wordt of wat dan ook, maar op het niveau van de medewerker. Medewerkers, in vaste dienst of niet, moeten aan die normen voldoen. Dat is overal in de Belastingdienst zo, ook bij de BelastingTelefoon waar je in gegevens kunt. Mensen die geautoriseerd zijn om bepaalde gegevens in te zien of zelfs te veranderen, moeten aan die eisen voldoen, ongeacht op wiens payroll ze staan. Daar is toezicht op. Daar is een heel beleid voor. Daar dient het handboek toe. Dat is dus niet nieuw. 

Op een aantal terreinen van de Belastingdienst ligt het voor de hand om met externen te werken. Dat is bij de BelastingTelefoon zo vanwege piek- en dalseizoenen. Dat is bij Data & Analytics zo, omdat het soms gaat om expertise die de Belastingdienst zelf niet heeft of om expertise die de Belastingdienst maar tijdelijk nodig heeft. Dat is een logische keuze. We moeten niet doen alsof het werken met experts van buiten de dienst niet zou kunnen. We moeten er gewoon voor zorgen dat mensen die een bijdrage komen leveren aan de Belastingdienst, zich op individueel niveau aan het beleid houden. Dat doen we overal in de dienst. Dat is hier helemaal niet uniek voor. 

Dat is natuurlijk wel het geval. Ik meen dat overheidsbreed het beleid erop is gericht om terug te gaan naar minder externen. Een derde deel van het personeelsbestand van D&A bestaat uit externen en onder die externen is ook nog verloop. Het risico op lekkage is natuurlijk groter als er iedere week een ander zit dan wanneer iemand twintig jaar op dezelfde stoel zit. Dat zal de staatssecretaris toch met mij eens zijn? Ik heb in eerste termijn gevraagd naar de mogelijkheid van printen, printscreens en e-mailen naar anderen. Op die manier kunnen er ook lekkages ontstaan buiten het usb-beleid. 

Ik zal de vraag naar printscreens even uitzetten; ik heb dat niet op het netvlies. Nogmaals, deze werkwijze is niet uniek. Het is niet uniek dat er binnen de Belastingdienst met externen wordt gewerkt. Het is belangrijk zich te realiseren dat iedereen die voor de Belastingdienst werkt, aan dit beleid moet voldoen en dat dit beleid op iedereen van toepassing is. Achterliggende organisaties kunnen dus ook nooit op een of andere manier iets met die gegevens doen of ze in handen krijgen. Dat mag niet het geval zijn en dat moeten wij overal in de Belastingdienst borgen. Dit geldt voor iedere afdeling van de Belastingdienst. 

De staatssecretaris zou duidelijkheid moeten geven en ons gerust moeten stellen, maar volgens mij creëert hij alleen maar mist. Hij is totaal onduidelijk over wat er nu precies is gebeurd. Daarover kan hij toch duidelijk zijn? Je hebt de Broedkamer en D&A. De vraag is nu of alles is gelogd, ook in de tijd van de Broedkamer. Stel dat medewerkers daar bepaalde gegevens hebben ingezien of gedownload of meegenomen. Is dat dan gelogd? Is dat na te gaan? Ik heb het dan ook over de periode van de Broedkamer. 

Ik heb zojuist gezegd dat ik dezer dagen heb kunnen vaststellen dat D&A logt wie, wanneer, welk gegeven uit welke bron bekijkt en wat er met dat gegeven gebeurt. Absolute zekerheid over het verleden kan ik natuurlijk nooit hebben. Tot nu toe heb ik geen signalen gekregen dat het niet goed ging, maar nu is er een signaal afgegeven in een programma. Dan dien ik dat toch na te gaan? Mijn antwoord op de vraag van de heer Bashir is dus: heel goede vraag en laat ik daarover absolute duidelijkheid verschaffen door dit na te gaan. Dit betekent dat wij in de loggegevens uit het verleden moeten duiken en dat wij moeten bekijken hoe de naleving was en of daar rare patronen in zitten. Die loggegevens worden op dagelijkse basis gemonitord. Ze worden door computers, maar ook door mensen in de gaten gehouden. Ik doe dit onderzoek juist om absolute zekerheid te geven in antwoord op de volkomen terechte en relevante vraag van de heer Bashir. Anders praat ik hier over iets op basis van kennis van voor de uitzending van ZEMBLA. Ik heb een serieus signaal gekregen en dat dien ik dan toch te onderzoeken? Dat doe je dan toch? Ik heb tot nu toe niet gedacht dat daar iets verkeerd mee was. Ik heb nu een aflevering gezien. Wij nemen alle signalen op dit terrein bloedserieus en wij gaan dit dus bekijken. Vervolgens geef ik met grote helderheid, en naar ik hoop tegen die tijd grote zekerheid, antwoord op de vraag van de heer Bashir. 

Volgens mij bedoelt de staatssecretaris met het woord "verleden" niet zozeer het verleden vanaf nu, maar meer het verleden van de Broedkamer. Begrijp ik dat goed? 

Ik doel op de situatie voor februari 2016. De periode sinds die tijd is helemaal bekeken en daarvan zeggen de mensen die daarvoor verantwoordelijk zijn en die daar samen met de top van de Belastingdienst zijn ingedoken, dat er geen enkele reden is om aan te nemen dat daar data zijn gelekt. Het onderzoek heeft betrekking op de periode daarvoor. Daarover kan ik, gezien de signalen die zijn afgegeven, geen absoluut uitsluitsel geven. Dat dien ik dus te onderzoeken. Het is een relevante vraag. 

Laten wij ons dan in het debat focussen op het deel dat wij niet kennen. Dan krijgen wij duidelijkheid zonder het woordje "verleden". Dan spreken wij over de Broedkamer en de periode voor februari 2016. Wat weet de staatssecretaris daarover? Wat is daarover gelogd? Werd er überhaupt gelogd? Of klopt hetgeen nu beweerd wordt, namelijk dat er helemaal geen logging plaatsvond? Dan kunnen we namelijk niet nagaan of er iets ontvreemd is. 

De stelling dat er helemaal niet gelogd zou zijn, kan ik alvast krachtig ontkrachten. Dat is niet juist, maar ik sta hier om de Kamer volledig en juist in te lichten. Dat betekent dat ik met grote precisie moet nagaan of het mogelijk is dat er delen niet gelogd zijn of dat er in de naleving iets verkeerd is gegaan. Nogmaals, dat ben ik gaan doen nadat ik signalen heb gekregen van ZEMBLA. Het is serieus genoeg, dus er moet naar gekeken worden. Ik denk dat de heer Bashir van mij mag verwachten dat ik er op het moment dat ik hem hierover antwoord, zekerheid over heb. Daarom bekijk ik dat nogmaals. 

Er is een hele trits vragen nog niet beantwoord. Ik zal er twee uitpakken en daarna zal ik nog een paar andere pakken. Er zouden signalen zijn dat er signalen zijn geweest aan het management. Heeft de staatssecretaris ergens een document gevonden waarin het management van de Broedkamer, dat hier vast aanwezig is, gewaarschuwd wordt dat er problemen zijn met logging, databeveiliging en autorisatie? Zo ja, wanneer is dat gevonden? Kunnen we dat zien? Is de staatssecretaris er al mee geconfronteerd of weet hij niet of zo'n ding bestaat? 

Mijn tweede vraag ligt in het verlengde van de vraag van de heer Bashir. De staatssecretaris zegt tegen iedereen dat hij de loggegevens heeft vanaf februari 2016, maar dat hij die niet allemaal kan analyseren. Dat snap ik. Heeft de staatssecretaris echter loggegevens gevonden van 2014 en 2015 waaruit blijkt welke gegevens van welke database op welk moment door wie zijn ingezien? Dat ze nog niet geanalyseerd zijn, daar hebben we het nog over. Heeft hij ook loggegevens van wie er wanneer met USB-sticks hele databases heeft meegenomen, met belastinggegevens en andere gevoelige gegevens? Zat daar overigens encryptie op? Waren die nog beveiligd? Zijn er in de afgelopen zeven dagen van deze twee zaken logs gevonden of niet? 

Ik heb net gezegd dat ik als onderdeel van het onderzoek moet bezien wat er precies gelogd is. Er is gelogd, maar de standaardbewaartermijn is twee jaar. Ik heb net gezegd dat ik uitzoek hoe we de gegevens daarvan kunnen blootleggen. Er zijn namelijk wel back-ups gemaakt. Dat heb ik al gezegd. Ik heb nu niet kunnen zoeken in de loggegevens van 2014 en 2015. Laten we ook even voorzichtig zijn met die suggestie over hele databases, voordat we heel Nederland in paniek brengen. Laten we feitelijk uitzoeken wat er kan zijn gebeurd, voordat we te grote woorden in de mond nemen. Dat verzoek doe ik aan de heer Omtzigt. Ik ben het met hem eens over de ernst van de aantijgingen. Ik druk hem op het hart dat ik die serieus wil bekijken. Onderdeel daarvan is de vraag welke gegevens in die periode zijn gelogd. Hoe was de naleving? Hoe was de omgang daar? Hoe is ermee gewerkt? Daaruit moeten wij conclusies afleiden. Dan is het de vraag of wij grote woorden moeten gebruiken of niet. Laten we er echter niet mee beginnen. 

Dan kom ik op de vraag over het interne document. Ik ben niet ingelicht op het niveau van documenten. Ik vind een vraag over documenten ook niet de relevante vraag. Ik ga interne documenten ook niet aan iemand sturen. Er zijn twee belangrijke vragen. Ten eerste: kunnen er gegevens zijn verdwenen? Die vraag wil ik beantwoorden aan de hand van het onderzoek. Ten tweede: hoe zorgen wij ervoor dat waarschuwingen vanuit de werkvloer via de organisatie bij de top of bij degene bij wie ze moeten komen, komen? Dat is de grote vraag. Ik ga echter niet in allerlei interne documenten spitten. Op dat niveau ben ik er ook helemaal niet over geïnformeerd. Ik heb zeer kort geleden een signaal gekregen dat er signalen zouden zijn geweest. Dat is wat ik hier meld. Dat geeft mij een goede reden om te bezien wat er precies allemaal kan zijn gebeurd. 

Daar gaan we weer, zegt de heer Van Weyenberg nu naast mij. Er zijn dus signalen geweest maar we moeten vooral niet weten welke signalen dat waren, net zoals we de vorige week niet moesten willen dat er een "whodunit" van gemaakt zou worden na wat er gebeurd was met de afvloeiingsregeling waardoor duizenden op de verkeerde manier vertrokken zijn en in een aantal gevallen ook nog behoorlijk veel geld meegekregen hebben. Ik wil het wél weten. Ik stel de staatssecretaris een heel heldere vraag. Kan hij voor het eind van de eerste termijn aangeven of er documenten zijn met waarschuwingen erin en wil hij die ons dan toesturen? Hij zegt ons wel een document te sturen, waarin niets staat. Er staat overigens in: er is geen auditeerbare situatie. Nou, als er geen auditeerbare situatie is, kan helemaal niet onderzocht worden of er goed gelogd is. Dan wil ik ook weten of er andere documenten zijn. 

Voorzitter, ik stel de vraag ook ten zeerste aan u. Wilt u ervoor zorgen dat de staatssecretaris antwoord geeft op de vraag of er documenten gevonden zijn die waarschuwen voor wat er is, zodat wij een beeld hebben van wanneer die waarschuwingen er waren en hoe er op geacteerd is? Verder heb ik gevraagd welke datalogs er teruggevonden zijn de afgelopen weken. Zijn de datalogs van 2014 en 2015 al gevonden? Als je bij een organisatie komt moet je die binnen tien minuten aan de Autoriteit Persoonsgegevens opleveren, dus ook binnen tien minuten aan de staatssecretaris als hij daarom vraagt. Staat daarin wie wanneer wat heeft kunnen inzien? Dat die niet à la minute geanalyseerd worden voor 150 man voor twee jaar lang, dat snap ik, maar mijn vraag is wel of die database gevonden is. 

Allereerst de vraag over 2014 en 2015. Ik heb daar echt al op geantwoord. We weten dat de logs twee jaar bewaard worden. Wat betreft deze gegevens zijn we aan het kijken hoe we die boven tafel krijgen. De tien minuten die de heer Omtzigt daarvoor heeft gereserveerd schieten tekort. Ik doe niet voor niets dat onderzoek. Als ik alles al zou weten, hadden we dat onderzoek niet nodig. Er moet gekeken worden hoe we aan die logdata kunnen komen, hoe compleet ze zijn, wat ermee is gedaan en wat er uit blijkt. Dat is nog een stevig onderzoek. De heer Omtzigt rekent het mij ook niet aan dat ik dat deel van het onderzoek nog niet af heb. De specialisten hebben nog even tijd nodig om de gegevensbasis voor dat onderzoek bloot te leggen. Dus het antwoord is: nee, ik heb nog geen logdata van 2014 en 2015 gezien. Ik weet dus ook niet welke datalogs nu gevonden zijn. Soms weet iemand dat ze bestaan maar weet hij nog niet hoe hij ze boven tafel kan krijgen. Dus het antwoord daarop is nee. 

Dan de vraag over dat interne document. Het gaat niet over de vraag of er interne documenten zijn over iets. Het gaat erom of er data kunnen zijn gelekt. Daar geef ik een antwoord op. Als dat onderzoek afgelopen is, wil ik daarbij ook best zeggen of er intern gewaarschuwd is, niet omdat dat de conclusies beïnvloedt maar omdat het iets zegt over de cultuur. Ik ga ten aanzien van een onderzoek dat nog aan het starten is, echter niet tussentijds allerlei tussenconclusies delen, dingen die ik niet compleet heb, dingen die ik niet kan overzien. Dit begint nu. Ik wil de Kamer compleet informeren over het geheel. Ik ga dan niet tussentijds met allerlei wel of niet bestaande papieren, waar ik nu ook helemaal niets van weet, staan wapperen. Dat ga ik niet doen. Dat is ook niet ordelijk. Dat moeten we niet doen. Het gaat hier ook gewoon over de veiligheid van medewerkers in het ambtelijk apparaat. Het gaat om degene die mogelijk mails, documenten of wat dan ook stuurt en het gaat ook om degene die ze ontvangt. Dit is niet de manier waarop we met het ambtelijk apparaat omgaan. Dat doen we zo niet. 

Tot slot op dit punt. 

Het spijt mij bijzonder, maar als de staatsecretaris dan toch één document stuurt waarvan hij zegt "daar stond het niet goed genoeg in" en er andere documenten blijken te zijn waarvan hij zegt "maar die krijgt u niet", dan vind ik dat hij heel selectief bezig is waar het gaat om het naar de Kamer sturen van documenten. Dus ik stel hem de vraag of hij voor de tweede termijn wel wil nagaan of er documenten gevonden zijn en, zo ja, van welk tijdstip. Dat zou ons namelijk helpen. Dat onderzoek is nog niet opgestart en wederom zien we een situatie ontstaan waarin de staatssecretaris zegt: we gaan een onderzoek doen, dus ik geef geen antwoord. Dat antwoord kan gegeven worden, want de staatssecretaris is erover geïnformeerd dat er signalen waren. Hij kan precies zeggen waar ze uit bestonden. 

Over 2014 mag hij alle forensische onderzoeken doen, maar 2015 is minder dan twee jaar geleden, tenminste de laatste elf maanden daarvan. Er bestaat dus een wettelijke bewaarplicht. Dan moet gewoon gevraagd kunnen worden aan de Broedkamer of je de logs van 2015 mag hebben. Zijn die logs ondertussen in het bezit van de onderzoekers — ik hoor straks wel wie dat allemaal zijn — of konden ze gewoon niet worden gevonden? Staat daar dan in wie wanneer waar bij is geweest? Als dat er na een week nog niet is, begin ik mij zeer ernstige zorgen te maken. 

Eerst het geruststellende: ik heb de verzekering gekregen dat de loggegevens van korter dan twee jaar geleden er in ieder geval zijn en dat daarin staat wie op welk tijdstip welk gegeven uit welke database onttrekt en ook in zekere mate wat daarmee gebeurt. Dat is mij verzekerd, dus die gegevens zijn gewoon veilig. Het is totaal niet uitgesloten — laat ik het zo formuleren — dat ook oudere gegevens met diezelfde precisie en diezelfde compleetheid beschikbaar zijn. Dat is totaal niet uitgesloten. Daarover heb ik nu nog geen zekerheid. Ik streef ernaar om het compleet te hebben, want dat maakt het onderzoek makkelijker. Zoals de heer Bashir al zei, gaat het namelijk bij uitstek om de periode voor de oprichting van D&A. Het zou dus mooi zijn als de loggegevens daarvan beschikbaar zijn. Dat is totaal niet uitgesloten, maar ik kan er geen zekerheid over geven. 

De heer Van Weyenberg? 

Het document? 

U stelt zo veel vragen dat ik het op een gegeven moment niet meer weet. 

Ik weet nu niet van documenten. Ik zie niet in wat de meerwaarde daarvan is. Ik kan naar de organisatie gaan met de vraag of er een document was. Misschien zijn er wel meer documenten. Laten we dat toch gewoon even in kaart brengen, zodat ik ten minste compleet kan antwoorden op de vragen van de heer Omtzigt. Ik heb mij eraan gecommitteerd om antwoord te geven op de vraag van de heer Omtzigt of er is gewaarschuwd op dit punt. Nu worden er echter vragen gesteld op het niveau van individuele documenten, op een moment dat de ZEMBLA-uitzending net is geweest, het onderzoek nog niet is gestart en ik de informatie nog niet compleet heb. Ik vind dat een rare manier van doen, want op die manier moet ik de Kamer fragmentarische, incomplete informatie geven, die ik bovendien nu even niet heb. Wie weet is de informatie er niet. 

We vallen nu echt in herhaling. We kunnen nog meer vragen stellen, maar dan krijgen we dezelfde antwoorden. 

Dezelfde non-antwoorden, dat klopt. 

Er is gewoon een verschil van opvatting. Er mogen nieuwe vragen worden gesteld. Verder hebben jullie in tweede termijn de ruimte om moties in te dienen of wat dan ook. Herhaling gaat niet helpen. Tot slot, mijnheer Omtzigt, echt tot slot op dit punt. 

Zo meteen heb ik nog drie of vier vragen die in dit blokje beantwoord hadden moeten zijn, maar waarop ik het antwoord niet gehoord heb. 

Oké. 

Stelt u ze in één keer, zou ik zeggen. 

Ten eerste: wel een document sturen en zeggen dat er geen waarschuwing in staat, terwijl er in maart 2015 bij punt 10 duidelijk staat dat er een niet-auditeerbare situatie is bij de zorgvuldige omgang met gegevens. Er is dus niet afdoende aandacht voor beveiliging — ik verwijs naar punt 10 op pagina 6 — terwijl er niet wordt gezegd of er ook interne waarschuwingen zijn. Sorry, maar die interne waarschuwingen moeten nu in kaart gebracht zijn, want anders worden er geen stukken gestuurd terwijl andere stukken niet worden gestuurd. Ik zou dus graag willen weten waaruit die bestaan. U weet dat ik daar krachtens artikel 8.60 van de Grondwet recht op heb, dus ik verwacht die documenten gewoon voor het einde van de eerste termijn te hebben. 

Ten tweede: waren er verschillende autorisatieprofielen in de periode 2013, 2014, 2015 en 2016? Oftewel: kon iedereen overal bij of was het netjes gesegmenteerd zodat men er niet bij kon? 

Ten derde: de klokkenluidersregeling. Ons was toegezegd dat er in het najaar een nieuwe regeling zou zijn. Nu zegt de staatssecretaris weer dat er een nieuwe regeling komt. Wat is er in de tussentijd eigenlijk precies gebeurd? 

Ten vierde: zijn er audits gevonden? Als je gelogd wordt, audit je dat regelmatig. Zijn die audits in de tussentijd gevonden? Hebben ze plaatsgevonden? Zijn daar dingen uitgekomen of niet? 

Nu gebeurt er iets wonderlijks. Nu wordt gezegd dat de staatssecretaris een rapport van een partij, LiquidHub, heeft meegestuurd en dat hij dus ook interne documenten moet gaan sturen. Ik probeer de Kamer te bedienen door documenten mee te sturen die intern niet op een ondermijnende manier of wat dan ook kunnen worden gebruikt. Ik lees in nummer 10 helemaal niet dat er een niet auditeerbare situatie ontstaat. Dat staat er niet. In mijn stuk staat dat er niet bij nummer 10. Er staat dat zorgvuldige omgang met gegevens moet worden geborgd en dat er afdoende aandacht moet zijn voor beveiliging en een auditeerbare situatie. Dat lijkt mij een heel zinvolle aanbeveling, maar het wil niet zeggen … 

Mijnheer Omtzigt, alleen op dit punt. 

Nee, er komt wat achter. Er staat: "dat er een auditeerbare situatie ontstaat". De staatssecretaris laat een cruciaal woordje maar even weg. Als die situatie nog moet ontstaan, dan is er op dat moment geen auditeerbare situatie. Dit selectieve citeren is de woordenkunstenaar Wiebes ten voeten uit. Er was geen auditeerbare situatie en daarom vragen wij of de aanbeveling is opgevolgd. Zijn er audits gevonden? 

Het "ontstaat" slaat niet op de beveiliging en de auditeerbare situatie, want dan loopt de zin helemaal niet. 

Op deze manier wordt het een zinloos debat. Ik stuur informatie mee die mij zinvol lijkt en waar het programma over gaat. Wat ik niet doe, is het rondsturen van interne ambtelijke stukken. Het is kabinetsbeleid om dat niet te doen. Daar is een heel goede reden voor. Ik wil de Kamer zo compleet mogelijk informeren over de vraag of hier iets aan de hand is geweest en of hier data zijn gelekt. Ik wil zelfs zeggen of er sprake was van interne waarschuwingen, maar ik ga niet, terwijl het onderzoek nog moet starten, met interne mails of wat dan ook rondwapperen. Dat ga ik echt niet doen. 

Bij audits weet ik niet of wij het over hetzelfde hebben. Worden de logs geaudit? Dat is eigenlijk wat de heer Omtzigt vraagt. Het zou zorgelijk zijn als logs alleen maar werden geaudit. Logs worden permanent in de gaten gehouden. Er zijn ICT-tools om te zien of er ongebruikelijke patronen optreden. Tegelijkertijd wordt er ook op andere manieren gekeken of zich rare dingen voordoen. Dat wordt in de gaten gehouden. Het hele beleid wordt volgens het handboek via zelfevaluatie geëvalueerd. Op dat geheel kan de Auditdienst Rijk zijn aandacht richten en dat vervolgens auditen. Dat is hoe het werkt. 

Als de concrete vraag is of die audit zich ooit specifiek op dit deel van het beveiligingsbeleid dan wel op dit deel van de organisatie heeft gericht, dan wil ik die in tweede termijn graag beantwoorden, maar er zitten dus nogal wat trappen tussen. Logdata dienen niet alleen voor vastlegging. Daar doe je ook iets mee, en dat gebeurt iedere dag. 

Er was nog een vraag over een klokkenluider. 

Ja, dat vond ik een goede vraag. Wat mij al een tijd als een gigantische graat in de keel zit, is dat steeds weer blijkt dat medewerkers heel moeilijk hun zorg in de organisatie kunnen uiten. Ik spreek niet alleen voor mijzelf, want ook de heer Omtzigt heeft dit meerdere keren naar voren gebracht. Dit is echt een zorg die wij delen. Ik heb in het debat gezegd dat wij eens moeten bekijken of wij daar een speciale vertrouwenspersoon voor kunnen inrichten. Vertrouwenspersonen zijn er in ruime mate. Er zijn honderden meldingen per jaar waar die vertrouwenspersonen mee aan de gang gaan. Desondanks zien wij dat er mensen zijn die kennelijk dat loket niet vertrouwen of onvoldoende vinden. Daar is iets mee. Geen kwaad woord over de vertrouwenspersonen, maar kennelijk is het stelsel nog niet afdoende. 

De vorige dg heeft daarover nagedacht en gezegd: misschien moet ik gewoon een oproep in de dienst doen met "leg het bij mij neer". Dat heeft vier meldingen opgeleverd. Wij zijn nu op een nieuwe manier bezig, zoals in de correspondentie is terug te vinden. Kunnen wij iets organiseren in aanvulling op het stelsel van vertrouwenspersonen in samenwerking met dat Huis voor klokkenluiders. Dat onafhankelijke instituut, powered bij BZK, zit in Utrecht. Misschien kan in samenwerking met dat huis iets worden gecreëerd bovenop datgene wat wij al hebben, want dit kan gewoon niet. Ik ben hier zelf een combinatie van verdrietig en gepassioneerd over. Dit moeten wij nu oplossen. Het bestaande net van vertrouwenspersonen functioneert, maar vangt niet alles af. ZEMBLA bewijst dat. 

Nee mijnheer Omtzigt, nu is het woord aan de heer Van Weyenberg. 

Dan wil ik een punt van orde maken. 

U bent niet de enige. De heer Van Weyenberg staat al heel lang bij de interruptiemicrofoon. 

Ik wil een punt van orde maken. Dit is precies hoe je beantwoording kunt ontwijken. Als je de vragen niet meeneemt … 

Dit is geen punt van orde. 

Ja. 

Wat is dan uw punt van orde? 

Mijn punt van orde is het volgende. Als de staatssecretaris in een blok de vragen niet beantwoordt, moet ik die per interruptie stellen. Als ik dan geen vragen mag stellen, kan ik er geen vragen over stellen. Daar neem ik nota van. Op dit moment is dat het geval op deze laatste twee punten. 

U hebt heel veel vragen gesteld. 

Dat klopt, maar als daar geen antwoord op komt in de termijn van de staatssecretaris, zit ik met een probleem. 

Ik meen de vragen beantwoord te hebben, ook schriftelijk. De vraag over vertrouwenspersonen is beantwoord met het initiatief van het klokkenluidershuis. Er is een vrij uitvoerige omschrijving van waar wij op dit moment mee bezig zijn in aanvulling op de vertrouwenspersonen. Dat heeft de heer Omtzigt blijkbaar niet herkend of als antwoord geaccepteerd, maar dat lijkt mij iets anders. 

Ik begin met twee onbeantwoorde vragen. De eerste was waarom de toegangspasjes nog steeds niet geregeld zijn, terwijl het rapport van de Auditdienst Rijk van mei 2015 is. Nu is het februari 2017. Ik vind anderhalf jaar hiervoor erg lang. Ik heb ook gevraagd naar de zelfevaluatie van de naleving van het handboek Beveiliging Belastingdienst die elk jaar wordt gehouden. Wat is daar uitgekomen, ook gelet op de check van de ADR? Wat bedoelt de staatssecretaris als hij in zijn brief schrijft dat er minimaal gelogd werd en wordt? 

Dan mijn concrete vraag nu. De staatssecretaris zegt steeds: ik wil onderzoeken of de beveiliging in het verleden wel of niet op orde was en of er misbruik van is gemaakt. Beide onderzoeken vind ik verstandig. Volgens mij vindt de hele Kamer die verstandig. De derde vraag van de heer Omtzigt en ook van mij is een andere. Die gaat over wat er intern is gebeurd. Is er gewaarschuwd richting leiding van de Belastingdienst en de staatssecretaris? De heer Omtzigt zei terecht dat er op dit punt een herhaling van zetten is gelet op de Financiële Beschouwingen en daarna de debatten rondom de vertrekregeling. Ik ben natuurlijk niet op zoek naar de namen van ambtenaren. Daar is de heer Omtzigt niet naar op zoek en de heer Bashir ook niet. Ik ben misschien ook niet op zoek naar de concrete documenten, maar ik wil een feitenrelaas. Ik wil weten of de top gewaarschuwd is. De staatssecretaris zegt dat hij eerder met een onderzoek is begonnen dan ZEMBLA omdat er zwemen van signalen waren dat er iets aan de hand was. 

Dat was de Autoriteit Persoonsgegevens. 

Zeker, maar dat betekent dat er voor de uitzending van ZEMBLA al zorgen waren. De staatssecretaris heeft zelf net gezegd: mij bereiken signalen dat er in het verleden is gewaarschuwd richting de top van de Belastingdienst. Dan is het logisch dat de Kamer daarnaar vraagt. Zij vraagt niet welke medewerker heeft geïnformeerd of is geïnformeerd. Zij wil wel weten wanneer er in de Belastingdienst is gewaarschuwd. In het verlengde van de vraag van de heer Omtzigt vraag ik om een feitenrelaas. Welke stukken daarbij kunnen worden gedeeld, laat ik in eerste instantie aan de staatssecretaris. Maar als wij dit niet kunnen doen, kunnen wij nooit meer vragen om een reconstructie van wat er gebeurd is. Dat was een debat tussen Kamer en staatssecretaris toen het ging over de vertrekregeling. Ik vind het jammer dat het vandaag blijkbaar weer een debat moet zijn. Ik vind het een heel redelijke vraag. Het is geen whodunnit, maar de vraag is hoe dit heeft kunnen gebeuren. 

Ik begin met het laatste. Ik ben blij dat het geen whodunnit is. Ik ben blij dat het niet over documenten gaat. Ik zie een zeker begrip daarvoor bij de heer van Weyenberg die hij ongetwijfeld ontleent aan zijn eigen ruime ambtelijke staat van dienst. Ik heb al gezegd dat ik niet alleen bereid en van plan ben om uit te zoeken of data kunnen zijn gelekt, maar ook of er sprake is geweest van interne waarschuwingen. Dat is informatie die ik graag na afloop van het onderzoek met de Kamer wil delen, maar waar ik nu gewoon onvoldoende zicht op heb. Ik heb niet meer dan signalen. Ik wil dat dit bekeken wordt. Ik heb toegezegd om die vraag te beantwoorden zodra ik het antwoord heb en dat is zodra dat onderzoek gevorderd is. Dat is niet iets wat jaren duurt. Ik hoop al in de volgende halfjaarrapportage daar een en ander over te kunnen melden. Ik zou het het liefst al af hebben. De heer Van Weyenberg en ook de heer Omtzigt krijgen antwoord op die vraag, maar ik ga nu niet ad hoc allerlei tussenantwoorden verzinnen op basis van informatie die ik niet compleet heb of zelf helemaal niet heb. 

Dat is nu precies waarom de Kamer en de staatssecretaris op dit moment van mening verschillen. Wij willen weten wat er gebeurd is. Een intern onderzoek naar de beveiliging, natuurlijk doen! Maar dat is iets anders dan antwoord geven op de vraag of er intern is gewaarschuwd. Ik vraag om een feitenrelaas. Dat is volgens mij een apart onderzoek en gaat over iets anders dan vragen over bijvoorbeeld de beveiligingsgegevens. Vragen daarover moeten ook worden onderzocht. Waren alle beveiligingsgegevens goed? Wat is er met die logingegevens gebeurd? Is er misbruik van gemaakt? Zijn er mensen met data vandoor gegaan? Dat moet allemaal worden onderzocht. Ik wacht de resultaten daarvan af. Het zijn allemaal ernstige aantijgingen, maar eerst moeten inderdaad de feiten op tafel komen. De vraag echter wat er intern aan signalen is gegeven, kan de staatssecretaris snel zelf onderzoeken. Daar hebben we hopelijk deze keer geen commissie van wijzen voor nodig. Een feitenrelaas daarover kan de staatssecretaris gewoon binnen enkele weken naar de Kamer sturen. Dat is mijn concrete verzoek. 

Dit ligt wel heel erg in lijn met de toezegging die ik zojuist heb gedaan. Ik ben bezig met een intern onderzoek. Daarbij wordt niet alleen de vraag onderzocht of er data kunnen zijn gelekt, maar ook de vraag of er sprake is geweest van waarschuwingen. Daar heb ik geen commissie van wijzen voor nodig. Ik heb er ook geen verhullende taal voor nodig. Ik vind dat een ordentelijke vraag van de Kamer om informatie. Ik ben van plan dat uit te zoeken en ik heb net gezegd dat ik hoop bij de halfjaarrapportage daar een antwoord op te kunnen geven. 

Ik heb de indruk dat we rondjes draaien, mijnheer Van Weyenberg. Klopt dat? 

Nou voorzitter, ik zie enige beweging. 

Dit is het antwoord en de vraag heb ik al eerder gehoord. 

Voorzitter, dit gaat over het recht van de Kamer om te weten wat er is gebeurd. De staatssecretaris zegt nu in ieder geval dat hij dat ook wil weten. Mijn punt is dat ik dit gewoon snel wil weten; daar mag geen misverstand over bestaan. Dit moet toch gewoon binnen drie weken kunnen? Binnen drie weken moet je toch kunnen weten of er in de organisatie is gewaarschuwd? 

Ik wil die informatie eigenlijk vandaag al. 

Ik zou het eigenlijk vandaag al willen weten; de heer Bashir heeft gelijk. Maar ik ben op zoek naar een weg. Dit vind ik een andere vraag dan de vraag of er misbruik is gemaakt van de gegevens. Dit kan volgens mij gewoon binnen drie weken naar de Kamer worden gestuurd. 

Die verzekering heb ik niet. Het vorige verzoek kon volgens de heer Omtzigt binnen tien minuten worden ingewilligd. Ook met drieweken-achtige toezeggingen van de heer Van Weyenberg heb ik geen goede ervaringen. Ik zeg hem toe om in dat onderzoek niet alleen aandacht te besteden aan de vraag of er mogelijk data is verdwenen, maar ook aan de vraag of er sprake is geweest van interne waarschuwingen. Ik doe dat in dat onderzoek en ik kom daar in de halfjaarrapportage op terug. Ik heb geen enkele indicatie dat ik veilig kan toezeggen om dat eerder voor elkaar te krijgen. 

Ik neem hier geen genoegen mee. 

Oké. 

We hebben namelijk vorige week acht uur gedebatteerd over stukken die de staatssecretaris, de baas van de Belastingdienst, niet wilde lezen. Nu zegt hij ons zelf dat hij weet dat er signalen waren over interne waarschuwingen. Er zijn dus signalen gekomen over signalen. Mijn vraag is gewoon: wat is de informatie die de staatssecretaris heeft en kan hij die met de Kamer delen? Ik wil dan geen stukken hebben en ik hoef geen namen te weten, maar ik wil weten wat die informatie is. Wat waren de signalen? Die informatie kan de staatssecretaris volgens mij gewoon nu met de Kamer delen. 

Dit is dus dezelfde vraag. 

Oké, bij dezen. Ik heb zeer recentelijk signalen gekregen dat er destijds signalen zouden zijn gegeven. Dat is echt alles wat ik weet. Dit moet nader worden uitgezocht. Waar hebben we het over? Waar gingen die signalen over? Hoezo signalen? Waar hebben we het over? Is dat compleet? Dat is nou precies wat ik aan het uitzoeken ben, want meer dan deze ene zin weet ik niet. Serieus: dit is wat ik weet! Dit is nou net iets wat in dat interne onderzoekje gewoon wordt meegenomen. Als dat is gedaan, weten we het antwoord. Dan geef ik het antwoord op de vraag van de heer Bashir, van de heer Van Weyenberg en van de heer Omtzigt. 

Dit zijn vragen die ik ook al in de eerste termijn heb gesteld. Ik vind het jammer dat ik nu mijn interruptie moet gebruiken om hierop door te vragen. Als ik het goed begrijp, heeft dus een ambtenaar tegen de staatssecretaris gezegd: er waren signalen dat er signalen waren binnengekomen. Punt. Verder niks. 

Ja. 

En toen heeft de staatssecretaris dus niet doorgevraagd? Toen is hij vervolgens naar dit debat gegaan zonder te hebben doorgevraagd? Hij heeft niet gevraagd wat de signalen dan waren, wat er is besproken, wat er is gebeurd? Er is helemaal niet doorgevraagd? 

Als ik alles compleet zou hebben, zou ik dat gerust met de Kamer kunnen delen. Maar het is niet compleet. Het is heel duidelijk dat we op dit moment niet de informatie bij elkaar hebben die nodig is om op een ordentelijke, complete en juiste manier antwoord te geven op deze vraag, anders dan ik zojuist deed. Voorzitter, ik kan proberen het hier allemaal te verzinnen, maar daar schieten we niets mee op. 

In mijn laatste interruptie heb ik gewoon een aantal vragen gesteld, voorzitter. Klopt het dat de staatssecretaris daarover niet heeft doorgevraagd? Die vraag kan de staatssecretaris met ja of nee beantwoorden. 

De staatssecretaris heeft gevraagd of wij daar voldoende over weten om mij, en daarna de Kamer compleet en juist te informeren. Het antwoord daarop was: zeker niet. Dat moet dus onderdeel van het onderzoek zijn en dat is het ook. Daar wordt naar gekeken en uiteindelijk komt er dus een antwoord op de vraag of er gewaarschuwd is. Ik kan dit alleen maar herhalen, want meer weet ik er ook niet van en meer is op dit moment niet bekend bij de mensen die betrokken zijn van het beantwoorden van vragen van deze Kamer. 

De geschiedenis herhaalt zich nu, maar de staatssecretaris komt niet elk debat weg met deze struisvogelpolitiek. Vorige week hadden we een debat en toen zei de staatssecretaris: ik neem de signalen serieus en daar duik ik meteen bovenop. Toen ging het over de vertrekregeling. Tijdens de algemene financiële beschouwingen ging het ook over signalen en nu gaat het weer over signalen. Er zijn signalen over signalen. Maar wij als Kamer, als controleur van deze staatssecretaris, hebben niet het gevoel dat die signalen echt landen bij de staatssecretaris en al helemaal niet in deze Kamer. De staatssecretaris gooit een balletje op over signalen, maar hij zegt niet waar die signalen over gingen. Dat willen weten. Wij willen weten of die signalen gingen over een lek. Lezen we volgende week in de krant dat de gegevens van tien miljoen belastingbetalers op straat liggen? Is dat het signaal dat de staatssecretaris heeft gekregen? Waar ging dat signaal over? 

Ik heb geen signaal gekregen. Ik heb alleen het signaal gekregen dat er signalen zouden zijn geweest. 

Over? 

Dat is een goede vraag. Daar moeten we achteraan. Dit gaat over een periode van de Broedkamer. Maar in alle eerlijkheid, die uitzending was nu een week geleden en nog niet alles is uitgezocht. De prioriteit heeft ook duidelijk gelegen bij het borgen dat er op dit moment volgens de voorschriften wordt gewerkt en dat er geen data verdwijnt. Er is ook voor gezorgd dat er extra maatregelen worden genomen om dat helemaal zeker te stellen en om Nederland de garantie te kunnen geven dat de Belastingdienst op dit moment keurig omgaat met de gegevens. Al die andere dingen zoeken we uit, maar we weten allemaal dat dat niet een, twee, drie gaat. We hebben aan deze tafel ook wel departementen gezien dat er zelfs nog even langer over hebben gedaan om gegevens boven tafel te krijgen. Ik doe hier onderzoek naar en ik hoop bij de halfjaarrapportage al zover te zijn dat ik daar een helder antwoord op kan geven. 

Ook dat is al een paar keer gezegd. 

Dat is waar. 

De vraag is echter waar dat signaal over ging, het signaal dat er een signaal is geweest. Over wat is er een signaal geweest? Dat er een USB-stick in Nederland rondzwerft met de persoonsgegevens van alle belastingbetalers? Is dat het signaal? Wij willen graag weten hoe groot het risico is, wat het signaal was en hoe groot we het gevaar moeten inschatten dat straks alle gegevens op straat liggen. Dat willen wij graag weten. Kennelijk is er een signaal geweest en dus weet de staatssecretaris hoe urgent dat was. 

Ik denk dat de heer Van Dijck hier nu de onderzoeksopdracht aan het opdreunen is. Dit wil hij niet alleen weten, maar dit willen al zijn collega's weten en dit wil ik ook weten. 

Ik stel voor dat u verder gaat met de volgende onderwerpen. 

Er wordt gewerkt aan de toegangspasjes. Ik weet niet of er van de planning is afgeweken. Dit is een initiatief en er wordt nu aan gewerkt om de beveiliging op een nog hoger niveau te brengen dan de standaard in de rest van de dienst. 

Er is gevraagd wat de ADR precies heeft opgeleverd aan resultaten. Volgens mij heb ik er inmiddels een gewoonte van gemaakt om de ADR-rapporten standaard naar de Kamer te sturen. Ik zal bezien of het antwoord daar ergens in staat of dat er nog een opmerking over de ADR is gemaakt. 

Er is gevraagd wat wordt bedoeld met minimaal gelogd. Ik moet eerlijk toegeven dat ik hier het antwoord niet op weet. Ik heb deze vraag zelf ook naar aanleiding van een concept gesteld. Ik vind het een heel goede vraag van de heer Van Weyenberg wat daarmee bedoeld wordt. Ik kom daar nog op terug. 

Ik hoop dat ik ook al antwoord heb gegeven op de vraag van de heer Van Dijck wat het verschil is tussen de onderzoeken. Daarmee wil ik het onderwerp informatiebeveiliging afsluiten totdat we verder zijn met het onderzoek. 

De staatssecretaris kondigt verschillende onderzoeken aan. Volgens mij willen wij die allemaal. Er is een verschil van inzicht over de vraag hoe snel iets onderzocht kan worden, door wie en hoe precies. Ik kan mij voorstellen dat het verstandig kan zijn om heel strak helder te krijgen wat de staatssecretaris nu precies door wie en binnen welke termijn laat onderzoeken en hoe de onafhankelijkheid van dat stukje onderzoek is gewaarborgd. Is het wellicht wijs dat de staatssecretaris ons daarover scherp en op schrift informeert? 

Ik heb het daar net over gehad ten aanzien van de dataveiligheid. De Autoriteit Persoonsgegevens is een externe partij. Die kijkt naar het nu. Die kiest daarin haar eigen tempo. Ik heb haar niet in de hand. Ik kan daarvan geen deadline toezeggen. Zij bepaalt haar eigen deadlines. Die kijkt naar de beveiliging van de afdeling D&A op dit moment. Dat doet zij naar aanleiding van de ZEMBLA-uitzending, maar daar is zij op gealerteerd vlak voor de uitzending, omdat er toen bij ons vragen binnenkwamen van de omroep die ons een indicatie gaven van het feit dat er een dergelijke uitzending aan kon komen. Dus de aanleiding daarvan is wel degelijk de ZEMBLA-uitzending. 

Dan zijn er interne onderzoeken. Een daarvan heb ik net genoemd. Daar heeft de heer Van Weyenberg ook aan gerefereerd. Dat is de periode van de Broedkamer, dus voor de oprichting van D&A. Die kijkt naar het toen, bij voorkeur aan de hand van gedetailleerde logs enzovoorts. Dat wordt intern uitgevoerd. 

Dan is er een onderzoek naar de toepassing van het beveiligingsbeleid in het algemeen Belastingdienstbreed. Het is niet zo dat de ZEMBLA-uitzending indicaties gaf dat er iets Belastingdienstbreed niet aan de orde is, maar ik vind dat wij signalen over data en data-integriteit zo serieus moeten nemen dat wij daarin net een stapje verder gaan. 

Mijn toezegging is geweest dat ik zal proberen om bij de halfjaarrapportage al zo veel mogelijk een en ander compleet te hebben. Een aantal dingen is half mei klaar — daar kom ik straks bij het blokje aanbesteding ook op — maar ik denk dat deze drie een end zouden moeten zijn ten tijde van de halfjaarrapportage. 

Dit is een opsomming van verschillende onderzoeken uitgevoerd door verschillende instanties met een verschillend tijdpad. Daarin zijn de signalen over waarschuwingen voor ons als Kamer waarschijnlijk bestuurlijk het meest relevant, in de zin van: komen de signalen nu eigenlijk wel door? Daarbij blijft elke keer onduidelijk wie dat precies onderzoekt en op welke termijn dat naar ons toe komt. Een uitspraak als "ik verwacht dat ik daar dan en dan ongeveer wel gegevens van heb" stelt mij niet zo heel erg gerust. Ik heb liever een strakke op schrift gestelde opdrachtomschrijving die duidelijk stelt wie iets onderzoekt binnen welke termijn en met welk resultaat. 

Die opdrachtbeschrijving vind ik geen probleem. Het was mijn voornemen om die ook mee te sturen. Ik weet niet of dat uiteindelijk is gelukt. Wat die periode betreft, die halfjaarrapportage probeer ik, maar van sommige dingen weet je het niet. Hoe lang moeten wij zoeken naar de juiste bestanden? Hoeveel mensen moeten er geïnterviewd worden? Ik houd daar een beetje een slag om de arm, maar juist omdat ik het volledige antwoord wil geven. De uitkomsten komen er, maar ik houd een zekere slag om de arm bij de planning. 

De vraag is of de opdracht en wie de opdracht uitvoert ook schriftelijk met de Kamer wordt gedeeld. 

Daar lijken mij geen bezwaren tegen te zijn. 

Oké. Dan wil ik toch voorstellen dat u dit onderdeel afrondt. U krijgt straks de gelegenheid om te interrumperen, mijnheer Omtzigt. Ik weet niet waar u nu ongeveer bent, staatssecretaris. 

Ik ben nu bij het blokje aanbesteden. Daar zijn minder vragen over gesteld. Ik moet dat ook sneller kunnen. Ik wil wel even afbakenen waar het stuk aanbesteden eigenlijk over gaat. Aanbesteden is een noodzakelijke basisvoorwaarde van een overheidsorganisatie. 

Voordat u verder gaat: de heer Omtzigt. 

Vorige week woensdag heeft de Kamer een feitenrelaas gevraagd, waarin zou worden ingegaan op de vraag wanneer er is gewaarschuwd. Nu hebben we nog steeds geen idee wanneer er is gewaarschuwd. We komen in een cirkeltje terecht. Waarom ligt dat relaas er niet? Waarom is het stukje "is de staatssecretaris eerder geïnformeerd over een veiligheidslek" helemaal niet aan de orde gekomen in het afgelopen half uur, terwijl er toch door verschillende woordvoerders naar is gevraagd? Voor de helderheid zal ik vertellen waarom ik dat vraag. Experts vertellen mij dat je wettelijk strafbaar bent als je meerdere signalen krijgt dat de databeveiliging niet op orde is en daar niet op handelt. Dan gaat het niet alleen over interne problemen, dan kun je zelfs vervolgd worden. Dat lijkt me ook wel duidelijk bij zo'n database. Het is daarom helemaal niet raar dat de Kamer via de heer Grashoff vraagt wie het onderzoek doet. Want als er mogelijke strafbare feiten aan de orde komen, is het een beetje onhandig als dat helemaal intern gebeurt. Verder is die lijst met afgegeven waarschuwingen een week geleden gevraagd. Daarbij is ook gevraagd of de staatssecretaris het afgelopen jaar is geïnformeerd over mogelijke problemen bij de privacy en beveiliging van de gegevens van de Belastingdienst, specifiek die van de Broedkamer en Data & Analytics. 

We gaan weer terug naar de discussie die net is gevoerd. 

Nee, ik ben niet geïnformeerd over veiligheidslekken bij Data & Analytics. Ik héb geen lijst van waarschuwingen, maar deel van het onderzoek is om te kijken of er sprake is geweest van waarschuwingen. Als er strafbare feiten aan de orde komen, is dat uiteraard een heel ander verhaal. Strafbare feiten worden niet door de Belastingdienst zelf afgehandeld. Maar dit betoog van de heer Omtzigt bewijst nou net dat je hier, als het om zulke grote zaken gaat, eerst de feiten op orde moet hebben voordat je daarover allerlei uitspraken kunt doen. Dat is belangrijk. We hebben het beeld helemaal niet compleet, en ik allerminst. Het is belangrijk om, als het om dit soort grote aantijgingen en om dit soort mogelijk ernstige consequenties gaat, de feiten op een rijtje te hebben voordat we daarover allerlei uitspraken gaan doen. 

Dat klopt. Daarom hadden we om dat relaas gevraagd, een relaas dat er dus nu nog niet ligt. De staatssecretaris zegt dat hij niet geïnformeerd is over lekken bij Data & Analytics. Maar ik stelde een vraag over privacy- en beveiligingsproblemen — want of er lekken geweest zijn, weten we niet precies — inclusief de periode van de Broedkamer. Heeft de staatsecretaris daar ooit signalen over gehad in de afgelopen twee jaar? 

Met de hand op mijn hart: ik herinner me daar helemaal niets van. Het is ook een onderwerp dat echt niet standaard op mijn tafel komt. Als ik signalen zou hebben gehad dat er, in de woorden van de heer Omtzigt, beveiligingsproblemen zouden zijn, was ik waarschijnlijk als door een wesp gestoken geweest. Ik weet daar niets van. Maar ik ben nieuwsgierig naar wat mij nog met terugwerkende kracht zou zijn gemeld; ook daar kijk ik naar. Maar in alle eerlijkheid: datalekken, nee. 

Gaat u verder. 

Ook dit bewijst weer dat we eerst moeten weten waar we over praten, voordat we praten. 

Aanbesteding is geen metier dat helemaal zonder zorgen is, maar dan gaat het meestal om de aanbestedingsprocedure, dan wel de inkoopmethode. Daar gaat het hier niet om. De aantijgingen hebben betrekking op integriteit. Dat is een forse aantijging, waar ik bang van word. Ook dat vraagt om eerst te weten waar je het over hebt, want het gaat om ernstige zaken en mogelijk om mensen. Daarom is hier forensisch onderzoek aan de orde. Dat gaat dus niet over aanbestedingsprocedures, maar over integriteit. Ik heb mij echt voorgenomen om mij geen enkel oordeel te vormen over wat hier aan de hand zou kunnen zijn, zolang ik de uitkomst van het forensisch onderzoek niet ken. Dat forensisch onderzoek is geraamd voor half mei. De mensen die daarmee aan de gang gaan, hebben aangegeven dat dat haalbaar is. 

De heer Van Weyenberg vroeg: wat wist de staatssecretaris over aanbestedingen die niet goed zijn gegaan. Laten we eerst vaststellen of er iets niet goed is gegaan, voordat we het daar überhaupt over hebben. Er zijn allerlei indicaties waaruit blijkt dat dingen in de procedure in ieder geval ordelijk zijn verlopen. Ik ben over een aantal aanbestedingen geïnformeerd en ik heb mij op basis daarvan ervan vergewist dat de wet, de procedure enzovoorts zijn gevolgd. Maar ik ben niet geïnformeerd over integriteitsproblemen. Laten we, voordat we dit soort woorden in de mond nemen, eerst bekijken of er echt wat aan de hand is. Voordat je het weet zijn we in deze zaal mensen impliciet aan het beschuldigen van iets wat helemaal niet vaststaat. Daar wil ik voorzichtig mee zijn. 

Zeker, voorzitter. Maar mijn vraag was of de staatssecretaris wat heeft gehoord over dit soort signalen. Dat vraag ik ook omdat ik uit de stukken opmaak dat er blijkbaar al zaken in gang waren gezet. Ik neem aan dat de staatssecretaris daarvan op de hoogte is gesteld voor de ZEMBLA-uitzending. Dat is de reden. Ik zeg dit niet omdat ik denk dat er iets is, maar omdat ik de indicatie heb dat de staatssecretaris, of in ieder geval de Belastingdienst, al eerder in actie kwam dan de ZEMBLA-uitzending en daar blijkbaar redenen voor had. Dat was de achtergrond van mijn vraag. 

Helder. Voorafgaand aan de ZEMBLA-uitzending zijn er vragen gesteld aan het departement. Er zijn toen dingen uitgezocht en veel van de signalen uit de uitzending, niet allemaal maar wel veel, zijn kort daarvoor op mijn tafel gelegd, omdat de voorbereiding daarop liep en omdat de vragen die de organisaties stelden, aanleiding gaven om te denken dat er aantijgingen zouden komen. Maar dat koppel ik toch een beetje aan de uitzending. Ik denk dat de heer Van Weyenberg en ik elkaar op dit punt begrijpen. 

Ik kom op de opbrengsten. Misschien moet ik daar wat over zeggen, want er spelen ook vragen over nulmetingen enzovoorts. De heer Van Weyenberg maakt zich zorgen dat we misschien om de tuin zijn geleid. 

Dat ging over wat er in de uitzending werd gezegd. 

O, ik dacht dat ik de heer Van Weyenberg daarover hoorde, maar ik wil hem niets in de mond leggen. 

Dat mag de heer Van Weyenberg rechtzetten. 

Zeker, voorzitter. Dat kwam omdat er in de ZEMBLA-uitzending werd gezegd dat Kamerleden werden misleid door onder druk gezette medewerkers. Dat vind ik een dusdanig ernstige aantijging dat ik hoop dat de staatssecretaris daarover vandaag duidelijkheid wil geven. In de schriftelijke stukken staat slechts dat de staatssecretaris zich dat niet kan voorstellen. Ik kon het mij ook niet voorstellen, maar juist daarom vind ik de aantijging extra ernstig en juist daarom verdient die volgens mij een helder antwoord. 

De vraag is volkomen duidelijk; geen enkel verwijt over de vraag. Ik heb zelf bij de start van de Investeringsagenda aangedrongen op kwantificering. De neiging bestaat om allemaal leuke projecten te beginnen, maar dan maak je één groot circus van dingen die uiteindelijk ook hobbyprojecten kunnen worden. Ik vind het absolute noodzaak om in elk stadium van die deelprojecten aan kwantificering te doen. Anders kun je nooit een keuze maken tussen groot en klein, tussen belangrijk en onbelangrijk of tussen urgent en niet-urgent. Anders is er ook geen rapportage mogelijk aan mij, waardoor ik niet weet of we onze doelen wel halen, of aan de Kamer. Als we zeggen dat er sprake is van een geaudit getal, een door Oliver Wyman getoetst getal, van een verbeterd nalevingstekort ter waarde van 750 miljoen, ligt bij de Kamer elke keer de vraag op de lippen hoe het daarmee gaat. Dat betekent dat we kwantificeringen nodig hebben. Anders is er ook geen projectbeheersing nodig, want dan weten we niet of we sturen op het doel. Bovendien heeft de Algemene Rekenkamer ten aanzien van het ITI-project gezegd dat de hardheid van dit soort getallen nodig is, omdat je moet kunnen tonen wat je waarmaakt. Er is een systeem en daarin doorlopen projecten fases. Het begint bij het lab. In het lab is het een schatting en na de pilot is het, zoals de specialisten het noemen, een rekenkundig resultaat van een meting vooraf en een meting achteraf. Na de implementatie wordt dat getal nog iets scherper, maar zoals ik al in oktober in de stukken heb geschreven, kun je het uiteindelijke effect van een project nooit heel precies vaststellen. Maar het is wel belangrijk dat we in de gang daarnaartoe zo veel mogelijk kwantificeren. In juli heb ik getallen genoemd die ik vers uit de Broedkamer kreeg op basis van tests van toen al D&A. Als aanhangsel bij de halfjaarrapportage in oktober heb ik in de rapportage over de Investeringsagenda een soort voorlopige update van die getallen gegeven. In dat stuk is trouwens een uitgebreide bloemlezing te vinden van de onzekerheden rond die getallen, maar het hoofdpunt daarin is dat die meetmethode objectiever moet. 

Dat is ook mijn vraag aan de heer Van Weyenberg. Wij moeten gewoon kunnen spreken over een meetmethode — ik heb dat allemaal aan de orde gesteld in dat stuk — om veel objectiever te bekijken wat de baten zijn van een project. Die waren toen dus gebaseerd op die metingen in de Broedkamer, maar die zijn slecht reproduceerbaar; dat gebeurt niet in elk project gegarandeerd op dezelfde manier. Het is dus ook voor de Algemene Rekenkamer moeilijk vast te stellen of die schattingen goed zijn. We moeten dus komen tot die geobjectiveerde meetmethode. Daarover heb ik toen al mondeling contact gehad met de Algemene Rekenkamer. Ik, maar ook zij, wilden natuurlijk een ITI-opmerking voorkomen. In dat rapport stond eigenlijk: u hebt gezegd dat u extra belastinginkomsten zou ophalen, maar het is nooit vast komen te staan dat het ook gelukt is. Ik heb toen met de Algemene Rekenkamer gesproken over die objectievere methode om dat vast te leggen. 

Betekent dit dat er nu niet gewerkt is met nulmetingen en dat soort zaken? Nee, natuurlijk niet. Want hoe maakte de Broedkamer of later D&A een schatting van de mogelijke baten en de ex ante potentiële baten van een project? Dat doen ze natuurlijk door voor en na te kijken. Daarbij kijken ze naar verschillende dingen: ze kijken naar het aantal medewerkers dat ergens mee bezig is, ze kijken naar de zogenaamde hit rate. Ze kijken naar hoeveel er wordt opgehaald bij een controle voor en na de pilot. Ook kijken ze naar de behandelduur. Al met al bekijken ze wat dit project zou kunnen bijdragen aan kostenvermindering of opbrengstverhoging. Dat doen ze door middel van extrapolatie. Dat getal wordt steeds preciezer, maar is natuurlijk altijd gebaseerd op een soort nulmeting. De zorg echter die ik daarover had, is dat dat onvoldoende traceerbaar en objectiveerbaar was. Dat moet gewoon netter, en daar zijn wij mee bezig. Dat betekent tegelijkertijd dat de getallen van toen die gebaseerd waren op tests in pilots, slecht reproduceerbaar zijn. Eerlijk gezegd: elke keer als ik op de Broedkamer kom, zie ik bevlogen professionals van wie ik niet de indruk heb dat ze liegen. Mijn hoofdconclusie is dat ik me moeilijk kan verdiepen in de kennis van toen, om het verleden vervolgens met de methode van straks te beoordelen. Mijn hoofdconclusie is dat die methode geobjectiveerd moet worden, en mijn afspraak met de Algemene Rekenkamer is dat zij meekijken en vaststellen dat dit daarmee iets is waarmee je ook definitieve rapportages naar de Kamer kunt sturen. De rapportage die ik heb gestuurd en waarin de getallen voorkomen, is een soort concept, een soort model, Dat moet natuurlijk definitief worden, en zodra we die meetmethode uitontwikkeld hebben, moet dat de basis voor die rapportage vormen. Ik heb de rapportage bij me, met de naam "Opzet voor de voortgangsrapportage aan de Tweede Kamer". Daarin staat dat er getallen worden genoemd die nog niet volgens die methode zijn berekend, maar dat dat wel gaat gebeuren. 

Dat dat geobjectiveerd en getoetst wordt door de Rekenkamer, lijkt me verstandig. De aantijging in het programma ZEMBLA was dat medewerkers dingen moesten zeggen tegen Kamerleden waar zij het niet mee eens waren, en dat zij werden gedwongen dat alsnog te doen. Dat vind ik een heel zware aantijging, die overigens niet overeenkomt met mijn eigen beeld van het werkbezoek. Toch neem ik aan dat er in de afgelopen zes dagen is onderzocht waar dat beeld vandaan komt en of dat wordt herkend door de mensen die daar waren. Nogmaals: het gaat mij hier niet om namen en rugnummers, maar ik vind het wel belangrijk om hier duidelijkheid over te krijgen. Het is nogal een aantijging: Kamerleden bewust op het verkeerde been zetten. Kan de staatssecretaris hier vandaag zeggen dat daarnaar is gekeken en dat hij daar geen enkel signaal van heeft? Wat is er gebeurd om te onderzoeken of mensen daar onder druk zijn gezet en ertoe zijn gedwongen om aan Kamerleden dingen te vertellen die zij eigenlijk niet vonden kunnen? Dat staat dus los van de meetmethode. 

Die zes dagen zijn een goed punt, maar als je zo'n ontzettende lading uitzoekwerk hebt, heb je dat in zes dagen niet compleet. Het punt van de heer Van Weyenberg gaat nog uit boven het maken van specifieke schattingen en boven de vraag of er een managementstijl of cultuur is waardoor medewerkers eigenlijk onder druk worden gezet om dingen te doen die gewoon niet horen in een organisatie, die misschien in een enkel geval niet horen volgens de wet of die in elk geval niet horen in de omgang met het bestuur en met de Tweede Kamer. Dat is de echte vraag en daarmee komen we eigenlijk bij het volgende blokje, namelijk de hele managementstijl en de cultuur. Dat vind ik eigenlijk het meest serieuze punt. Dat heeft te maken met die afstand, maar dit mengt zich met beelden van een geheel verkeerde managementstijl. Ik denk dat ik daar heel kort over kan zijn: dat moet gewoon veranderen. Dat is een van de belangrijkste opdrachten die de nieuwe dg en ik ons hebben gesteld. 

Ik ben het ermee eens dat dit het specifieke punt overstijgt van hoe je de baten van Data & Analytics berekent. Ik zou het waarderen als ik hierop op korte termijn een heldere reactie krijg. Ik hoop eigenlijk gewoon een ontkrachting van de aantijgingen in ZEMBLA te horen. Het punt van de cultuur is helemaal waar, maar ik neem aan dat wij op een heel korte termijn ook gewoon nog antwoord krijgen op de vraag, in de zin van: Tweede Kamer, wij hebben onderzoek gedaan en wat daar is gesteld, klopt niet of er is iets gebeurd waardoor dat beeld toch is ontstaan. Dit wil ik graag opgehelderd hebben, los van een specifiek debat over de cultuur bij de Belastingdienst. 

Ik vind het een beetje moeilijk om te bedenken … Ik zie de informatiehonger. Dit is wel een van de belangrijke dingen: we horen in een uitzending dat op een bepaalde manier met mensen is omgegaan; klopt dat beeld nou? Ik weet dat de dg inmiddels contact met hen heeft gehad en dat hij niet met die beelden terugkwam, maar dat geeft niet echt uitsluitsel. Laat mij even broeden op deze zorg. Ik vind dit namelijk een oprechte zorg en die deel ik. Mag ik in een andere termijn terugkomen op de vraag of ik daar iets meer aan kan doen en, zo ja, hoe? Ik weet het antwoord even niet, maar ik zit daar ook de hele tijd een beetje over te dubben. Dit is raar. 

Ja, dat mag de staatssecretaris doen, juist omdat ik geen enkele schijn wil laten bestaan dat Kamerleden bewust verkeerd geïnformeerd worden. Die schijn kan niet blijven hangen. Ik wacht dat dus af in de tweede termijn. 

Ik wil de heer Van Weyenberg op dit punt bijvallen. Gelet op die aantijging, leek het mij voor de hand te liggen dat de mensen die de presentaties gaven in de Broedkamer, even gebeld zijn om te vragen hoe zij dit hebben ervaren en of zij dit kunnen bevestigen of ontkennen. Misschien kan dat alsnog gebeuren. 

Daarvoor is misschien zelfs nog meer nodig dan dat. Ik heb begrepen dat de nieuwe dg daar langs is geweest, maar het is niet zo dat je dan van zo'n collectief gezelschap in één keer zo'n antwoord krijgt. Dat is volgens mij dus gewoon nog niet het eindantwoord. Ik ben hier al een tijdje over aan het puzzelen en ik blijf de vraag van de heer Van Weyenberg maar ook de zorg van de heer Groot heel goed vinden. Dit brok in ons aller magen zou moeten worden aangepakt. 

Ik bekijk even of ik nu alle vragen heb beantwoord; volgens mij wel. Ik stel voor om de opmerkingen van de heer Van Dijck mee te nemen in het AO van 22 februari over het handhavingsbeleid. Volgens mij ben ik nu langs alles gelopen. 

Ik kijk rond of er behoefte is aan een tweede termijn. 

Volgens mij is een vraag van mij nog niet beantwoord. Ik heb een vraag gesteld over de privacy officer, die in het ADR-rapport van maart 2016 wordt genoemd. Daar staat dat die positie nog niet uitgekristalliseerd is. Ik vind die functie belangrijk binnen die club. Ik wil dus graag meer duidelijkheid over hoe het daar nu mee staat. 

ADR is Auditdienst Rijk? Ik denk dan altijd aan orgaandonatie, maar dat is het niet. 

Dat is een meesterlijke vraag; excuses. Alleen al daarom zou er misschien een tweede termijn moeten komen. Daarvoor moet ik ook even de feiten toetsen. Het is een heel goede vraag. 

Ik zie de heer Omtzigt. Is er nog een vraag die niet is beantwoord? 

Ik doe dit met enige schroom, maar … 

Nou, dat is niks voor u. 

Nee, dat klopt. Ik heb ook gevraagd om die interrupties te gebruiken, want die zaten voor mij in het eerste blok. ZEMBLA heeft zojuist een nieuw document online gezet van precies dezelfde auteurs als het document dat wel gestuurd is. Daarin staat dat er met spoed aan gewerkt moet worden om de bestaande zaken binnen de wet- en regelgeving te brengen. 

Dan ga ik dat document ook opzoeken. Ik ken dat document niet, maar zo is er steeds weer wat te lezen. 

Dat is door dezelfde personen geschreven, zag ik in de aanhef. 

Maar volgens mij heeft niemand het hier. Ik kijk naar de andere Kamerleden. 

Daarom stel ik ook voor dat we nu een halfuur schorsen. Ik heb echt even tijd nodig om te bedenken wat ik in de tweede termijn ga zeggen. Ik zou graag in een verlengde eerste termijn een reactie willen hebben. 

Een verlengde eerste termijn is iets anders dan een tweede termijn. 

Ik bedoel dat we even schorsen, dan een reactie krijgen, en dan doorgaan naar de tweede termijn. Wij gaven de staatssecretaris juist een week om de signalen naar boven te krijgen. Nu zijn er signalen, en dan zou het ook fijn zijn om te weten wat ermee gedaan is. Die signalen zijn overigens naar de top van de Broedkamer gegaan. 

Niemand kent deze informatie. Eerst moet iedereen dezelfde informatie hebben. Dan kunnen ook uw collega's daarover meepraten. 

Ook ik, trouwens. 

Ook de staatssecretaris kent deze informatie dus niet. 

Kunnen we even schorsen? 

Dat was ik sowieso van plan. Mijnheer Omtzigt, de bel is nog niet gegaan. U kunt dus nog. 

Ik zal u hier even de relevante pagina geven. Dan kunt u hem ronddelen. 

Dat doen we.